Tshark filtrage http/https obtenir la demande

Question

j'ai besoin de voir que les demandes HTTP GET HOST une seule fois (seulement la page Web), uniquement à partir de la source définie ip, pas d'autres informations/données.

La première requête à cette URL.

Par exemple:

Le premier paquet ce qui se passe du client au serveur.

GET/HTTP/1.1\r\n 

Quels filtres dois-je ajouter? J'ai essayé peu, mais toujours obtenir trop d'information/données ...

Y a-t-il des possibilités pour regarder le paquet de première demande de HTTPS aussi? Pour voir où le client envoie la demande?

Answer 1

Si vous êtes sur une plate-forme Un * x, vous pouvez essayer quelque chose comme:

tshark -r file.pcap -Y 'ip.src == 1.2.3.4 and http.request.method == "GET"' -T fields -e http.request.method -e http.request.version -e http.request.uri | head -n 1 

... ou vous voulez peut-être utiliser http.request.full_uri au lieu de http.request.uri?

Si vous êtes sous Windows, vous devrez peut-être installer Cygwin coreutils afin d'utiliser head, et vous devrez peut-être citer les choses un peu différemment, par exemple:

tshark -r file.pcap -Y "ip.src == 1.2.3.4 and http.request.method == \"GET\"" -T fields -e http.request.method -e http.request.version -e http.request.uri | head -n 1 

Pour https, vous aurez besoin de déchiffrer le SSL. Vous pouvez lire comment faire cela sur le Wireshark SSL wiki page.